原文：http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx

本文译言地址：http://www.yeeyan.com/articles/view/hanguofeng/8955

（特别感谢Neil Carpenter对本文写作提供的帮助）

近期趋势

从去年下半年开始，很多网站被损害，他们在用于生成动态网页的SQL数据库中存储的文本中被注入了恶意的HTML <script>标签。这样的攻击在2008年第一季度开始加速传播，并且持续影响有漏洞的Web程序。
这些Web应用程序有这样一些共同点：

• 使用经典ASP代码的程序
• 使用SQL Server数据库的程序

应用程序代码根据URI请求字符动态地生成SQL查询（http://consoto.com/widgets.asp?widget=sprocket）这体现了一种新的SQL注入（SQL injection）的途径（http://msdn.microsoft.com/en-us/library/ms161953.aspx）。在过去，SQL注入攻击的目标是具有如下特点的特殊Web应用程序：攻击者知道或者可以探测出后台数据库的漏洞或者结构。这样的攻击（指本文讨论的攻击-译者注）不同，因为它是抽象的，对于攻击来说，任何存在于使用URI请求字符串动态创建SQL查询的ASP页面都可能存在。你可以在 http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx找到更多的技术详情和简单代码。

这样的攻击并非利用了Window、IIS、SQL Server或者其他底层代码的漏洞，而是利用了在这些平台上运行的由程序员自行编写的代码中的漏洞。Microsoft已经对这些攻击进行了彻底的调查，并且发现，他们和以往的Microsoft产品的补丁和0-day漏洞无关。你可以在http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx获取跟多的信息。

 正如上面所指出的，这些攻击在近年来呈现一种增长的趋势。这至少与两个因素有关：

第一，有暴力性的恶意攻击工具自动化进行此类操作。SANS在http://isc.sans.org/diary.html?storyid=4294讨论了这类工具。该工具使用搜索引擎来寻找具有SQL注入漏洞的站点。

第二，一个或多个恶意僵尸正在进行SQL注入攻击，用以广泛传播僵尸。SecureWorks在http://www.secureworks.com/research/threats/danmecasprox/讨论了一个案例。

一旦某台服务器被该漏洞所攻击，它将被插入指向某.js文件的恶意<script>标签。虽然这些文件的内容不同，但是他们都尝试利用已经被修复的Micfosoft产品的漏洞或者第三方ActiveX控件的漏洞。由于这些脚本被单独存储，这些脚本就很容易的被更新以利用更新的客户端漏洞，也更容易按照不同浏览器来定制。

给信息技术/数据库管理员的建议

有很多事情是信息技术管理员或者数据库管理员可以采取的，以减少他们的风险和响应他们的代码和平台中可能出现的事件：

• 检查IIS日志和数据表来寻找未知风险的标志。

由于该漏洞利用方式通过URI请求字符串作用，管理员们可以检查IIS日志来查找尝试利用该漏洞的非正常请求。你可以在http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx找到如何手动进行改操作的详细信息。在 http://www.codeplex.com/Release/ProjectReleases.aspx?ProjectName=WSUS&ReleaseId=13436有进行自动化操作的工具。

如果IIS日志表明服务器可能已经被侵害，那么下一步要采取的行动就是审计相应的Web应用程序所使用的数据库中的表，并且查找附加在文本内容中的<script>标签。

提示：IIS服务器不应当在生产环境中关闭日志。存储和适当的管理对于IIS日志都是重要的，缺少IIS日志对于响应安全事件是非常困难的。

• 如果运行了使用后端数据库的第三方代码，则考虑不受SQL注入影响的独立软件开发商（ISV，Independent Software Vendors）。

在使用第三方ASP Web程序的情况下，管理员应当联系应用程序厂商来确定他们的产品不受SQL注入攻击的影响。

• 确认Web应用程序所使用的数据库帐户具有最少的权限。

管理员应当确保Web应用程序所使用的SQL用户具有最小的必要权限。Web应用程序不应当以诸如”sysadmin”的服务器管理员权限或者”db_owner”的数据库权限链接。白皮书”在SQL Server 2005中的最优化安全设置和维护”： http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc 提供了关于SQL Server安全的多方面建议。

给Web开发者的建议

有很多优秀的文档论述在编码时如何防御SQL注入攻击。由于这些攻击者leverage有漏洞的Web应用程序代码，所以完全防御他们的唯一方法是解析在代码中存在的漏洞。程序中任何一个使用外部资源（一般指从URI请求字符串）数据来动态生成SQL请求的地方都应当被认为是可疑的。当代码漏洞被识别出来，他们应当被小心的修复。

• 说明-SQL注入、ASP.NET和ADO.NET ：

http://msdn.microsoft.com/en-us/library/bb671351.aspx
同时，上面的文章包含到相关文章”如何在ASP.NET中避免SQL注入” http://msdn.microsoft.com/en-us/library/ms998271.aspx，该文章同时适用于ASP。

这里有一个非常有用的视频（该视频是针对一篇防御文章的，然而链接可能已经无效了）：http://channel9.msdn.com/wiki/default.aspx/SecurityWiki.SQLInjectionLab。

• 关于SQL注入如何实现的简单信息：

http://msdn.microsoft.com/en-us/library/ms161953.aspx

• ASP代码中的SQL注入（与ASP.NET中的并不相同）：

http://msdn.microsoft.com/en-us/library/cc676512.aspx
如何在ASP中执行SQL Server存储过程： http://support.microsoft.com/kb/q164485

• Microsoft安全部门（The Microsoft Security Development Lifecycle,SDL）对SQL注入的防御进行了一些指导。简单来说有三种策略来应对SQL注入攻击：

1. 使用SQL参数查询
2. 使用存储过程
3. 使用SQL仅执行（execute-only）许可

Michael Howard在http://blogs.msdn.com/sdl/archive/2008/05/15/giving-sql-injection-the-respect-it-deserves.aspx谈论了这些内容。

同时，编写安全的代码（第二版）也指导了如何防御此类攻击（请浏览399-411页）。

• 减轻SQL注入：使用参数查询（第一部分和第二部分）。使用参数化查询的好处是它将执行的代码（例如SELECT语句）和数据（由程序使用者提供的动态信息）分开。该途径防御了通过用户传递来执行的恶意语句。

第一部分：
http://blogs.technet.com/neilcar/archive/2008/05/21/sql-injection-mitigation-using-parameterized-queries.aspx

第二部分：
http://blogs.technet.com/neilcar/archive/2008/05/23/sql-injection-mitigation-using-parameterized-queries-part-2-types-and-recordsets.aspx

在经典ASP代码中过滤SQL注入（或者黑名单中的字符），我们将如下的工作认为是实际中临时性的解决方案，因为它治标不治本。（例如，代码仍然是有漏洞的，他仍然可能被绕过过滤机制而被访问到）
IIS团队中的Nazim解释了如何过滤的详细信息：http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx。

如果你仍然不了解从哪里开始，所有使用特定ASP代码访问数据库，尤其是使用由用户提供的数据的代码应当首先被检测。

给最终用户的建议

最终用户（下简称用户-译者注）应当浏览位于http://www.microsoft.com/protect/default.mspx的信息。另外，这里也有一些你可以采取以保护自己的步骤。

• 通常应当有选择的访问网站-但是也需要了解，该漏洞也会影响用户信任的网站。

有选择的访问网站减少了你暴露在漏洞下的风险，当然即使是你所信任的也有可能被攻击。留意不正常的行为，了解面临的风险，并且实施本节提供的其他建议。

• 针对Microsoft和第三方软件，保持安全更新。

由于恶意代码通常利用了已知的漏洞，因此你应当确保你在运行最新进行安全更新过的的Microsoft和第三方软件。Microsoft安全更新可以通过http://update.microsoft.com了解。http://www.microsoft.com/protect/computer/updates/OS.aspx有更多信息。

• 禁用不必要的ActiveX控件和IE加载项。

你应当禁用所有不必要的ActiveX控件和IE加载项。根据KB883256（http://support.microsoft.com/kb/883256）的方法在Windows XP Service Pack2或者更新版本中来实施本步骤：

1. 打开IE。
2. 在”工具”菜单点击管理加载项。
3. 点击加载项的名称。
4. 使用如下的方法：
   • 点击更新ActiveX来使用最新的版本替换该控件。这个方法并非对所有的加载项都可用。
   • 点击”启用”，而后点击”确定”，来启用加载项。
   • 点击”禁用”，而后点击”确定”，来禁用加载项。

你可能需要重启IE来确保在启用/禁用插件的操作成功。
针对更糟的操作系统，根据KB154036（http://support.microsoft.com/kb/154036）的说明进行操作。

• 减少你所使用的第三方浏览器的受攻击风险的步骤。

如果你使用了IE之外的浏览器，那么你应当确保你安装的是最新的安全更新版本，同时你应当禁用了不必要的扩展和加载项。流行浏览器的信息可以在如下链接找到：

Firefox – http://support.mozilla.com/en-US/kb/Firefox+Support+Home+Page
Opera – http://www.opera.com/support/
Safari – http://www.apple.com/support/safari/

• 更新反恶意程序软件

用户应当确保已经安装了杀毒软件和反间谍软件，并且保持他们的更新。你可以在http://www.microsoft.com/protect/computer/antivirus/OS.aspx和http://www.microsoft.com/protect/computer/antispyware/OS.aspx找到更多信息。你可以在 http://onecare.live.com/standard/en-us/install/install.htm得到一份90天使用的Windows Live OneCare杀毒/反间谍软件。

Del.icio.us : SQL Injection, SQL注入, 翻译

相关内容

• [译文]Google AJAX Language API对象参考
• [译文]Google AJAX Language API开发者参考
• [译文]防止CSRF攻击

译言链接：http://www.yeeyan.com/articles/view/hanguofeng/5896

对象参考

全局方法

结果对象

翻译结果

• <result>
  • error?在载入feed时是否出现错误
    • codeHTTP风格的错误代码
    • message便与人阅读的错误描述文本
  • translation翻译后的文本

检测结果

• <result>
  • error?在载入feed时是否出现错误
    • codeAn HTTP风格的错误代码
    • message便与人阅读的错误描述文本
  • language给定语言的语言代码。参考Language 枚举
  • isReliable一个布尔型变量来描述给定文本是否是可靠的
  • confidence一个基于0-1.0之间的数值，用来描述对给定文本的可信级别

Language枚举

google language的language枚举提供了对于名称常量到语言代码的映射，用来描述srcLang和destLang参数。以下是用在Google Translate的相同代码：

var google.language.Languages = {

  'ENGLISH' : 'en',

  'CHINESE' : 'zh',

  'CHINESE_SIMPLIFIED' : 'zh-CN',

  'CHINESE_TRADITIONAL' : 'zh-TW',

  'ARABIC' : 'ar',

  'FRENCH' : 'fr',

  'GERMAN' : 'de',

  'ITALIAN' : 'it',

  'JAPANESE' : 'ja',

  'KOREAN' : 'ko',

  'PORTUGUESE' : 'pt-PT',

  'RUSSIAN' : 'ru',

  'SPANISH' : 'es',

  'DUTCH': 'nl',

  'UNKNOWN' : ''

};

相关内容

• [译文]Google AJAX Language API开发者参考
• SQL注入攻击-来自微软安全博客的建议
• Google Language for WordPress

译言链接：http://www.yeeyan.com/articles/view/hanguofeng/5895

开发者参考

使用AJAX Language API，你可以仅使用JavaScript来完成对某个网页上某个区域的语言进行翻译和检测的工作。

API是新开发的，因此相对于一个完美的文档来说，可能有一些bug和微小的不足。我们会修补这些漏洞，因此请谅解、你可以加入AJAX APIs开发者论坛来给我们反馈和讨论这个API。

面向读者

本文档是面向对JavaScript编程和面向对象编程概念有所了解的人准备的。在互联网上有很多JavaScript教程。

介绍

在Google Ajax Language API上的”Hello,World”程序

开始学习本API的最简单方法是来看一个简单的例子，一下案例将检测给定语言，并且将其翻译为英文。

<html>

  <head>

    <script type="text/javascript" src="http://www.google.com/jsapi"></script>

    <script type="text/javascript">    google.load("language", "1");

function initialize() {

      var text = document.getElementById("text").innerHTML;

      google.language.detect(text, function(result) {

        if (!result.error && result.language) {

   google.language.translate(text, result.language, "en",

                             function(result) {

     var translated = document.getElementById("translation");

     if (result.translation) {

       translated.innerHTML = result.translation;

            }

          });

        }

      });

    }

    google.setOnLoadCallback(initialize);

</script>

  </head>

  <body>

    <div id="text">你好，很高興見到你。</div>

    <div id="translation"></div>

  </body>

</html>

你可以在这里查看该案例，并且随意修改和运行它。

在你的网页中包含Ajax Language API

为了在你的网页中加入AJAX Language API，你需要利用Google AJAX API Loader。该公有加载类允许你加载你所需要的所有AJAX API，包括这里的language API。你需要同时包含Google AJAX APIs的script标签并且调用google.load(“language”,”1″);。

<script type="text/javascript" src="http://www.google.com/jsapi" mce_src="http://www.google.com/jsapi"></script>

<script type="text/javascript">

  google.load("language", "1");

</script>

第一个script标签加载了google.load函数，这个函数允许你加载特定的 Google API。google.load(“language”,”1″)加载了Language API的第一版。当前，AJAX Language API的版本为1，但是不久后新版本将可以使用。参考下面的版本讨论来获得更多信息。

API 更新

google.load函数的第二个参数实际上是你所使用的AJAX Language API的版本。当前，AJAX Language API的版本为1，但是不久后新版本将可以使用。

如果以后我们对API进行重要更新，我们将改变版本号，并且在Google Code和AJAX APIS 讨论中发布通知。当该事件发生后，我们预期会在至少一个月的时间内继续支持所有版本来使你有足够的时间来迁移你的代码。

AJAX Language API团队对于最近日较的Bug修复和平台优化进行定期更新。这些Bug修复应当仅提高表现和修复Bug，但是我们有可能不小心破坏某些API用户、请使用AJAX APIs 讨论组来报告这样的问题。

实例

语言翻译

本案例展示了一个简单的对一个JavaScript字符串变量进行翻译的过程。

google.language.translate("Hello world", "en", "es", function(result) {

  if (!result.error) {

    var container = document.getElementById("translation");

    container.innerHTML = result.translation;

  }

});

查看案例（translate.html）

语言检测

这个案例展示了对于一个JavaScript字符串的语言检测。将返回语言代码。

var text = "¿Dónde está el baño?";

google.language.detect(text, function(result) {

  if (!result.error) {

    var language = 'unknown';

    for (l in google.language.Languages) {

      if (google.language.Languages[l] == result.language) {

        language = l;

        break;

      }

    }

    var container = document.getElementById("detection");

    container.innerHTML = text + " is: " + language + "";

  }

});

查看案例 (detection.html)

翻译时源检测

如下的案例类似于基本的翻译案例，但是它展示了如何在不知道源语言时对文本进行翻译。通过传入一个空字符串来表示未知的源语言，系统将在一次调用中自动检测和翻译。

google.language.translate("Hello world", "", "es", function(result) {

  if (!result.error) {

    var container = document.getElementById("translation");

    container.innerHTML = result.translation;

  }

});

更多案例

这里有进行交互作用的两个附加案例。第一个案例对预输入的文本字符串进行语言检测，同时也允许输入其他的文本。它同时也显示信任和可靠因数（confidence and reliability factors-译者注）。

查看案例(detect.html)

第二个附加案例进行翻译。同时他也允许与上述类似的交互作用。

查看案例(translate.html)

API细节

支持的语言

Google AJAX Language API现在支持下列语言。该技术正在不断的提高，同时我们的团队也在努力的扩展这个列表，因此请经常回来看看。你也可以访问Google Translate来查看最近更新的列表。

• Arabic （阿拉伯语）
• Chinese (Simplified and Traditional) （中文简体）
• Dutch （荷兰语）
• English （英语）
• French （法语）
• German （德语）
• Greek （希腊语）
• Italian （意大利语）
• Japanese （日语）
• Korean （韩语）
• Portuguese （葡萄牙语）
• Russian （俄语）
• Spanish（西班牙语）

支持的语言翻译对

Google AJAX Language API现在支持下列语言翻译对。该技术正在不断的提高，同时我们的团队也在努力的扩展这个列表，因此请经常回来看看。你也可以访问Google Translate来查看最近更新的列表。

• Arabic to English （阿拉伯语到英语）
• Chinese to English （中文到英语）
• Chinese (Simplified to Traditional) （简体中文到繁体中文）
• Chinese (Traditional to Simplified) （繁体中文到简体中文）
• Dutch to English （荷兰语到英语）
• English to Arabic （英语到阿拉伯语）
• English to Chinese (Simplified) （英语到简体中文）
• English to Chinese (Traditional) （英语到繁体中文）
• English to Dutch （英语到荷兰语）
• English to French （英语到法语）
• English to German （英语到德语）
• English to Greek （英语到希腊语）
• English to Italian （英语到意大利语）
• English to Japanese （英语到日语）
• English to Korean （英语到韩语）
• English to Portuguese （英语到葡萄牙语）
• English to Russian （英语到俄语）
• English to Spanish （英语到西班牙语）
• French to English （法语到英语）
• French to German （法语到德语）
• German to English （德语到英语）
• German to French （德语到法语）
• Greek to English （希腊语到英语）
• Italian to English （意大利语到英语）
• Japanese to English （日语到英语）
• Korean to English （韩语到英语）
• Portuguese to English （葡萄牙语到英语）
• Russian to English （俄语到英语）
• Spanish to English（西班牙语到英语）

问题解决

如果在你的代码中遇到了问题：

• 检查代码。请牢记JavaScript是对大小写敏感的语言。
• 使用JavaScript调试器、在Firefox中，你可以使用JavaScript控制台或者FireBug扩展。在IE中，你可以使用Microsoft Script Debugger。
• 在AJAX APIs讨论组中搜索。如果你找不到回答你问题的帖子，那么可以在讨论组中发布你的问题，并且包含指向你出问题的页面的链接。

相关内容

• [译文]Google AJAX Language API对象参考
• SQL注入攻击-来自微软安全博客的建议
• Google Language for WordPress

译言链接：http://www.yeeyan.com/articles/view/hanguofeng/3994
原文链接：http://www.playhack.net/view.php?id=31

概览：

1. Hello World
2. 介绍
3. 关于认证技术
3.1 Cookies Hashing
3.2 HTTP来路
3.3 验证码
4. 一次性令牌
5. 最后的话

1.Hello World

欢迎来到崭新的Playhack.net的新季度开题项目报告。我非常高兴您能够再次回来让我们的c001项目重现。

希望您能喜欢这个新的短篇论文，我邀请你浏览位于http://www.playhack.net的全部新项目。

开始：几乎没有什么，只是一点香烟!:

呐喊：我向我的playhack m8s null,omni,god and emdel,ofc o str0ke大声呐喊!NEX 回来了。

2.介绍

我对跨站请求伪造（Cross Site Request Forgery，即CSRF）技术有一定研究，但是对网站开发者应当采取的措施研究不深。这些日子在编写一个对用户和管理员（这些人对他们的任务并不明晰:P）有高度安全要求的分布式网站程序时，我被这个话题深刻的纠缠了。

针对这种情况，我必须考虑程序最终可能受到的各个方面的可能的攻击威胁。

给我最多麻烦的就是Session欺骗（或者CSRF，你可以按照自己喜欢的方式称呼），因为这种攻击是完全以用户的身份，因此并没有百分百的可能性来防止它。

如果你对我刚才说所的Session欺骗并不太了解，那么你可以阅读：http://www.playhack.net/view.php?id=30

3.可行措施

Ok，从这里开始，我必须假定你对Session欺骗攻击的实施方法已经深刻领会了:P

让我们开始新的继续。

考虑到一个已经登录到网站的受信用户可以完成一些重要的或者私密的操作，攻击者尝试记性一个可能的登录攻击（但是大多数情况下是不可行的）并且得到已经登录用户的Session来实现其巧妙的行为。

为了劫持用户的Seession，入侵者精心构造一个适当的网页，在这个网页中包含了隐藏的JavaScript函数来重新创造一个原始操作表单，但是攻击者却修改了一些表单值，然后攻击者让受攻击者访问该页面，此时页面加载过程会提交上述表单到一个远程页面，以隐秘地完成一个请求（此时受攻击者并不知道），他们用这种方法利用了用户的受信身份。

这种方式简单解释了Session欺骗攻击是如何工作的，但是一个重要的问题是，“我如何避免我的用户成为这种攻击的受害者？”

现在，你可能想到如下的几种方法：

检查Cookies凭据
检查HTTP请求来路
使用验证码
但是经过一些尝试，你会发现这些方法不是我们应当采取的最合适的解决方式，让我们一个个的来看为什么。

3.1 Cookies Hashing

第一个方案可能是解决这个问题的最简单和快捷的方案了，因为攻击者不能够获得被攻击者的Cookies内容，也就不能够构造相应的表单。

这个问题的实现方法与下面的类似。在某些登录页面我们根据当前的会话创建Cookies：

<!– login.php –>
<?php
// Cookie value
$value = “Something from Somewhere”;
// Create a cookie which expires in one hour
setcookie(“cookie”, $value, time()+3600);
?>
<!– EOF –>

在这里，我们在Cookies中使用了散列来使得这个表单可被认证。

<!– form.php –>
<?php
// Hash the cookie
$hash = md5($_COOKIE['cookie']);
?>
<form method=”POST” action=”resolve.php”>
<input type=”text” name=”first_name”>
<input type=”text” name=”last_name”>
<input type=”hidden” name=”check” value=”<?=$hash;?>”>
<input type=”submit” name=”submit” value=”Submit”>
</form>
<!– EOF –>

此时，后台的动态网页部分可以进行如下操作：

     <!– resolve.php –>
      <?php
      // Check if the “check” var exists
      if(isset($_POST['check'])) {
           $hash = md5($_COOKIE['cookie']);
           // Check if the values coincide
           if($_POST['check'] == $hash) {
                do_something();
           } else {
                echo “Malicious Request!”;
           }
      } else {
           echo “Malicious Request!”;
      }
      ?>
      <!– EOF –>

事实上，如果我们不考虑用户的Cookies很容易由于网站中存在XSS漏洞而被偷窃（我们已经知道这样的事情并不少见）这一事实，这是一个很好的应对对CSRF的解决方案。如果我们为用户的每一个表单请求中都加入随机的Cookies，那么这种方法会变得更加安全，但是这并不是十分合适。

3.2 HTTP来路

检测访问来路是否可信的最简单方法是，获得HTTP请求中的来路信息（即名为Referer的HTTP头—译者注）并且检查它来自站内还是来自一个远程的恶意页面：这是一个很好的解决方法，但是由于可以对服务器获得的请求来路进行欺骗以使得他们看起来合法，这种方法不能够有效防止攻击。

让我们来看看为什么这并不是一个合适的方法。

下面的代码展示了HTTP Referer实现方法的一个例子：

     <!– check.php –>
      if(eregi(“www.playhack.net”, $_SERVER['HTTP_REFERER'])) {
           do_something();
      } else {
           echo “Malicious Request!”;
      }
      <!– EOF –>

这个检测则会轻易的忽略掉来自某个攻击者伪造的HTTP Referer欺骗，攻击者可以使用如下代码：

header(“Referer: www.playhack.net”);

或者其他在恶意脚本中伪造HTTP头并发送的方法。

由于HTTP Referer是由客户端浏览器发送的，而不是由服务器控制的，因此你不应当将该变量作为一个信任源。

3.3 验证码

另外一个解决这类问题的思路则是在用户提交的每一个表单中使用一个随机验证码，让用户在文本框中填写图片上的随机字符串，并且在提交表单后对其进行检测。

这个方法曾经在之前被人们放弃，这是由于验证码图片的使用涉及了一个被称为MHTML的Bug，可能在某些版本的微软IE中受影响。

你可以在Secunia的站点上获得关于此缺陷的详细信息：http://secunia.com/advisories/19738/ 。

这里是Secunia关于此Bug解释的概述：

“此缺陷是由于处理“mhtml:”的URL处理器重定向引起的。它可以被用来利用从另外一个网站访问当前的文档”

在同一个页面你会找到来自Secunia工作人员的网站测试方法。

事实上，我们知道，这个Bug已经被微软放出的Windows XP和Windows Vista及其浏览器IE6.0的修复包所解决了。

即使他的确出现了安全问题，这么长时间也会有其他的可靠方案出现。

4.一次性令牌

 现在让我们来看经过研究，我希望介绍的最后一种解决方案：在使用这些不可靠的技术后，我尝试做一些不同然而却是更有效的方法。

为了防止Web表单受到Session欺骗（CSRF）的攻击，我决定检测可能被伪装或伪造的每一个项目。因此我需要来创造一次性令牌，来使得在任何情况下都不能够被猜测或者伪装，这些一次性令牌在完成他们的工作后将被销毁。

让我们从令牌值的生成开始：

     <!– start function –>
     <?php
     function gen_token() {
          // Generate the md5 hash of a randomized uniq id
          $hash = md5(uniqid(rand(), true));
          // Select a random number between 1 and 24 (32-8)
          $n = rand(1, 24);
          // Generate the token retrieving a part of the hash starting from
          // the random N number with 8 of lenght
          $token = substr($hash, $n, 8);
          return $token;
     }
     ?>
     <!– EOF –>

 PHP函数uniqid()允许web开发者根据当前的时间（毫秒数）获得一个唯一的ID，这个唯一ID有利于生成一个不重复的数值。

我们检索相应ID值的MD5散列，而后我们从该散列中以一个小于24的数字为开始位置，选取8位字母、

返回的$token变量将检索一个8位长的随机令牌。

现在让我们生成一个Session令牌，在稍后的检查中我们会用到它。

     <!– start function –>
     <?php
     function gen_stoken() {
          // Call the function to generate the token
          $token = gen_token();
          // Destroy any eventually Session Token variable
          destroy_stoken();
          // Create the Session Token variable
          session_register(STOKEN_NAME);
          $_SESSION[STOKEN_NAME] = $token;
     }
     ?>
     <!– EOF –>

 在这个函数中我们调用gen_token()函数，并且使用返回的令牌将其值复制到一个新的$_SESSION变量。

现在让我们来看启动完整机制中为我们的表单生成隐藏输入域的函数：

     <!– start function –>
     <?php
     function gen_input() {
          // Call the function to generate the Session Token variable
          gen_stoken();
          // Generate the form input code
          echo “<input type=\”hidden\” name=\”" . FTOKEN_NAME . “\”
               value=\”" . $_SESSION[STOKEN_NAME] . “\”> “;
     }
     ?>
     <!– EOF –>

我们可以看到，这个函数调用了gen_stoken()函数并且生成在WEB表单中包含隐藏域的HTML代码。

接下来让我们来看实现对隐藏域中提交的Session令牌的检测的函数：

     <!– start function –>
     <?php
     function token_check() {
          // Check if the Session Token exists
          if(is_stoken()) {
               // Check if the request has been sent
               if(isset($_REQUEST[FTOKEN_NAME])) {
                    // If the Form Token is different from Session Token
                    // it’s a malicious request
                    if($_REQUEST[FTOKEN_NAME] != $_SESSION[STOKEN_NAME]) {
                         gen_error(1);
                         destroy_stoken();
                         exit();
                    } else {
                         destroy_stoken();
                    }
               // If it isn’t then it’s a malicious request
               } else {
                    gen_error(2);
                    destroy_stoken();
                    exit();
               }
          // If it isn’t then it’s a malicious request
          } else {
               gen_error(3);
               destroy_stoken();
               exit();
          }
     }
     ?>
     <!– EOF –>

这个函数检测了$_SESSION[STOKEN_NAME]和$_REQUEST[FTOKEN_NAME]的存在性（我使用了$_REQUEST方法来使得GET和POST两种方式提交的表单变量均能够被接受），而后检测他们的值是否相同，因此判断当前表单提交是否是经过认证授权的。

这个函数的重点在于：在每次检测步骤结束后，令牌都会被销毁，并且仅仅在下一次表单页面时才会重新生成。

这些函数的使用方法非常简单，我们只需要加入一些PHP代码结构。

下面是Web表单：

     <!– form.php –>
     <?php
          session_start();
          include(“functions.php”);
     ?>
     <form method=”POST” action=”resolve.php”>
          <input type=”text” name=”first_name”>
          <input type=”text” name=”last_name”>
          <!– Call the function to generate the hidden input –>
          <? gen_input(); ?>
          <input type=”submit” name=”submit” value=”Submit”>
     </FORM>
     <!– EOF –>

 下面是解决的脚本代码：

     <!– resolve.php –>
     <?php
          session_start();
          include(“functions.php”);
          
          // Call the function to make the check
          token_check();
          
          // Your code
          …
     ?>
     <!– EOF –>

你可以看到，实现这样一个检测是十分简单的，但是它可以避免你的用户表单被攻击者劫持，以避免数据被非法授权。

5.结论

让我们对这篇简短的论文做一个结论，你的Web应用程序没有百分百的安全，但是你可以开始避免绝大多数普通的攻击技术。

我希望您关注的另一个要点是，Web开发者不应当忽视一般的程序错误（例如XSS 浏览器漏洞等等），不将这些考虑为对您的用户的潜在威胁是一个巨大的错误：你应该永远记得它们将影响程序的信任性、安全性和互操作性。

Cya!

nexus

（前面的PHP代码是从Seride项目中参考的，该项目地址为：http://projects.playhack.net/project.php?id=3）

相关内容

• SQL注入攻击-来自微软安全博客的建议
• [译文]Google AJAX Language API对象参考
• [译文]Google AJAX Language API开发者参考

译言链接：http://www.yeeyan.com/articles/view/hanguofeng/3805

原文链接：http://codex.wordpress.org/Plugin_API

概述

本文档介绍了在WordPress中对插件开发者有用的API（Application Programming Interface，应用编程接口）的使用方法。

本文假设你已经阅读了简要介绍插件开发方法的文章：Writing a Plugin，本文主要就介绍Hook API，比如Filters、Action，这使得WordPress可以加载你的插件。

注意：本文所提到的信息针对WordPress1.2及以上版本，在1.2版之前，这些插件被称为“hacks”，他们主要是通过修改WordPress本身的源码来实现的。

译者注：在本文中，为了便于对原文的准确翻译，一些程序设计的专有词汇没有进行翻译，你可以阅读如下单词表来参考：

• API，应用程序编程接口。
• Hook，钩子，意为在WordPress的处理中加入你自己的处理。
• Filter，过滤器。
• Action，动作。

Hooks，Actions和Filters

Hook是WordPress提供的，允许你的插件“勾入”WordPress的程序，或者说，可以在特定时候执行你插件中的函数，从而使得你的插件执行。这里提供了两种hook：

1. Action：Action（动作）是WordPress程序核心在程序执行的特殊点（特定事件发生）加载的。使用Action API，你的插件可以在这些特殊点执行一个或者多个在插件中编写的PHP函数。
2. Filter：Filter（过滤器）是WordPress加载的，当文本被存入数据库或发送到浏览器之前，Filter可用来对其进行多种类型的处理。使用Filter，你的插件可以使用定义在其中的PHP函数来对文本进行多种处理。

某些时候，你可以用Action或者Filter实现同样的功能。举例来说，如果你编写了一个插件用来修改博客日志的文本，你可以加入一个Action函数到publist_post的事件（这样日志就会在存入数据库时被修改），也可以加入一个Fliter函数到the_content（这时日志内会在显示到浏览器之前被修改）。

Actions（动作）

Action（动作）在WordPress进行某些特殊事件处理时被触发，例如发布日志，修改主题，或者在管理员面板显示页面。你的插件可以通过执行PHP函数来发挥作用，他们可以用来做如下事情：

• 修改数据库中的数据
• 发送Email消息
• 修改在浏览器中显示的信息（包括管理员看到的和访问者看到的）

实施Action的基本步骤是：

1. 在你的插件中编写当事件发生时执行的PHP函数。
2. 通过执行add_action函数将这些操作Hook（勾入）到WordPress中。
3. 将你的PHP函数放入插件文件，并且将其激活。

编写Action函数

在插件中创建Action的第一步是在插件中编写一个实现Action功能的PHP函数并且将其放入你的插件文件（插件文件必须放置在wp-content/plugins目录）中。比如，如果你希望当发表一篇日志后，发送Email通知给你的朋友，那么你可以定义如下函数：

function email_friends($post_ID)  {
    $friends = 'bob@example.org,susie@example.org';
    mail($friends, "sally's blog updated",
      'I just put something on my blog: http://blog.example.com');
    return $post_ID;
}


在大多数Action中，你的函数应该接受一个参数（通常是日志或者帖子的编号，这取决于你要进行的操作）。某些Action可能有多余一个参数–你可以通过查看Action的文档或者WordPress源代码来获得更多信息。除函数参数外，你还可以访问WordPress的全局变量以及执行WordPress中定义的其他函数（或者在你的插件文件中定义的函数）。

注意：切记其他插件或者WordPress核心可能已经使用了你希望使用的函数名称，你可以浏览Avoiding Function Name Collisions（避免函数名称冲突–译者注）来获得更多信息。

Hook（勾入）到WordPress

完成你的函数的编写后，下一步就是将其hook（勾入）或者说注册到WordPress中，你可以通过执行全局空间中的add_action()函数来实现，如：

add_action ( 'hook_name', 'your_function_name', [priority], [accepted_args] );此处

• hook_name参数是WordPress提供的Action Hook（动作钩子）名称，这决定了你的函数应当和哪个事件结合。
• your_function_name参数是你希望在特定事件（即hook_name参数指定的事件）后执行的函数名称。该函数可以是标准的PHP函数，在WordPress核心中定义的函数或者你自己在插件文件中定义的函数（如刚才我们编写的emai_friends函数）。
• priority参数是一个可选的整型参数，他用来指明在结合特定事件的多个函数中，当前函数被执行的顺序（默认为10）。该参数指定的更小的数字会被更早的执行，priority参数相同的函数会依照他们被加入Action的顺序来执行。
• accepted_args参数是一个可选的整型参数，他定义了你的函数中可以接收多少个参数（默认为1）。该参数是非常有用的，因为某些Hook可以向你的函数中传入多个参数。该参数在1.5.1版本中被新加入。

在前面的例子中，我们可以在插件文件中加入如下代码：

add_action('publish_post', 'email_friends');同样的，你也可以在Action Hook中移除Action，你可以参考Remove Actions来获得更多详情。

安装和激活

让你的Action Hook开始工作的最后一步是安装插件文件和激活插件。你必须将你编写的PHP函数和add_action函数存入同一个PHP文件，该PHP文件必须被安装在wp-content/plugins目录，当该文件安装完毕，你需要浏览WordPress的管理面板，并且激活你的插件，你可以参考Managing Plugins文章来获得更多信息。

当前可用的Action Hook

请浏览Plugin API/Action Reference（插件API/Action参考–译者注）来获得一份当前版本的WordPress中可用的Action Hook。

Filters（过滤器）

Filters（过滤器）是WordPress在执行中的特定点传递数据的函数，他发生在对数据进行操作（如将其加入数据库或发送到浏览器）之前。Filter建立在数据库到浏览器之间的处理（当WordPress生成页面时），同时也建立在浏览器到数据库之间的处理（当WordPress新增日志或者评论到数据库时）；多数WordPress中的输入输出都通过了至少一个filter。WordPress默认已经实现了一些过滤操作，你的插件也可以加入你自己的过滤操作。

将你的filter加入WordPress中的基本步骤如下：

1. 编写用于过滤数据的PHP函数。
2. 通过执行add_filter函数将filter Hook（勾入）到WordPress。
3. 将你的PHP函数放入插件文件，并且将其激活。

编写Filter（过滤器）函数

Filter（过滤器）函数获得未经修改的数据，并返回修改后的数据（或者在某些情况下，返回null值来标识数据应当被删除或忽略）。如果你的filter不修改数据，那么应当返回原始数据，这样，如果必要，其余的插件可以继续修改数据。

因此，在你的插件中创建filter的第一步是编写一个PHP函数来进行过滤处理，并且将其放在你的插件文件（插件文件必须放置在wp-content/plugins目录）当中。例如，如果你希望确保你的帖子和评论中不包含脏话，你可以定义一个存放禁止词汇的全局变量，然后编写如下的PHP函数：

function filter_profanity($content) {
    global $profanities;
    foreach($profanities as $profanity) {
        $content=str_ireplace($profanity,'{censored}',$content);
    }
    return $content;
}
注意：切记其他插件或者WordPress核心可能已经使用了你希望使用的函数名称，你可以浏览Avoiding Function Name Collisions（避免函数名称冲突–译者注）来获得更多信息。

Hook（勾入）到WordPress

完成你的函数的编写后，下一步就是将其hook（勾入）或者说注册到WordPress中，你可以通过执行全局空间中的add_filter()函数来实现，如：

add_filter('hook_name', 'your_filter', [priority], [accepted_args]);此处：

• hook_name参数是WordPress提供的Filter Hook（过滤器钩子）名称，这决定了你的函数在何时发挥作用。
• your_filter参数是你希望用来过滤的函数的名称。该函数可以是标准的PHP函数，在WordPress核心中定义的函数或者你自己在插件文件中定义的函数。
• priority参数是一个可选的整型参数，他用来指明在结合特定事件的多个函数中，当前函数被执行的顺序（默认为10）。该参数指定的更小的数字会被更早的执行，priority参数相同的函数会依照他们被加入Action的顺序来执行。
• accepted_args参数是一个可选的整型参数，他定义了你的函数中可以接收多少个参数（默认为1）。该参数是非常有用的，因为某些Hook可以向你的函数中传入多个参数。该参数在1.5.1版本中被新加入。

在前面的例子中，我们可以将下面的代码放入你的插件文件中的主要执行部分，来通知WordPress对评论中的脏话进行过滤处理：

add_filter(‘comment_text’,'filter_profanity’);

你也可以使用WordPress函数remove_filter()来移除filter hook中的filter。你可以参考Removing Actions and Filters文章。

安装和激活

让你的Filter Hook开始工作的最后一步是安装插件文件和激活插件。你必须将你编写的PHP函数和add_filter函数存入同一个PHP文件，该PHP文件必须被安装在wp-content/plugins目录，当该文件安装完毕，你需要浏览WordPress的管理面板，并且激活你的插件，你可以参考Managing Plugins文章来获得更多信息。

当前可用的Filter Hook

请浏览Plugin API/Filter Reference （插件API/Filter参考–译者注）来获得一份当前版本的WordPress中可用的Filter Hook。 

删除Action和Filter

在某些情况下，你会发现你希望你的插件屏蔽WordPress内建或者其他插件加入的Action或Filter。你可以通过执行remove_filter('filter_hook','filter_function')函数或者remove_action('action_hook','action_function')函数来实现。

举例来说，remove_action(‘publish_post’,'generic_ping’);会使得你在发表新日志时不发送日志引用（ping）。

注意如果某个hook在注册时使用了除默认值10意外的priority参数，则你必须修改在remove_action()函数中的priority参数。同时也请注意，通常来讲除非你知道这样做的原因和后果，你不应当移除任何东西–请检查WordPress或者其他插件的源代码来保证这一点。

默认应用的Filter和Action

找出WordPress默认启用的filter和Action的最可靠方法是在WordPress核心文件中搜索 add_filter和add_action。

WordPress 2.1

在WordPress 2.1中，大多数默认filter和action是通过文件wp-includes/default-filters.php来加入的，少数其他的在如下文件中被加入：

• wp-admin/admin-ajax.php
• wp-admin/admin-functions.php
• wp-admin/custom-header.php
• wp-admin/edit.php
• wp-admin/index.php
• wp-admin/options-permalink.php
• wp-admin/upload-functions.php
• wp-admin/upload.php
• wp-includes/bookmark.php
• wp-includes/general-template.php
• wp-includes/kses.php
• wp-includes/plugin.php
• wp-includes/rewrite.php
• wp-includes/template-loader.php
• wp-includes/theme.php

WordPress 1.5

大多数默认的filter和action在WordPress 1.5的文件wp-includes/default-filters.php中被加入。

你可以覆盖的函数

除了前面描述的hook（包括action和filter）之外，另一个修改WordPress行为的插件编写方法是覆盖WordPress函数。事实上，WordPress设计了一些让插件重新定义的函数。WordPress通过仅当所有插件都加载之后才加载这些函数的方式来使得这个方式变得容易。

这些函数均定义在文件wp-includes/pluggable.php中，如下是其清单（在2.1版本中）；这些函数中的部分文档可以在Function Reference（函数参考-译者注）中找到。

• set_current_user
• wp_set_current_user
• wp_get_current_user

相关内容

• SQL注入攻击-来自微软安全博客的建议
• Google Language for WordPress
• [译文]Google AJAX Language API对象参考